KR100998418B1 - Methods for operating virtual networks, data network system, computer program and computer program product - Google Patents

Methods for operating virtual networks, data network system, computer program and computer program product Download PDF

Info

Publication number
KR100998418B1
KR100998418B1 KR1020087015037A KR20087015037A KR100998418B1 KR 100998418 B1 KR100998418 B1 KR 100998418B1 KR 1020087015037 A KR1020087015037 A KR 1020087015037A KR 20087015037 A KR20087015037 A KR 20087015037A KR 100998418 B1 KR100998418 B1 KR 100998418B1
Authority
KR
South Korea
Prior art keywords
network
virtual network
virtual
node
port
Prior art date
Application number
KR1020087015037A
Other languages
Korean (ko)
Other versions
KR20080093978A (en
Inventor
얀 듀폰첼
제임스 에프 리오단
뤼디게르 리스만
디에고 엠 잠보니
Original Assignee
인터내셔널 비지네스 머신즈 코포레이션
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 인터내셔널 비지네스 머신즈 코포레이션 filed Critical 인터내셔널 비지네스 머신즈 코포레이션
Publication of KR20080093978A publication Critical patent/KR20080093978A/en
Application granted granted Critical
Publication of KR100998418B1 publication Critical patent/KR100998418B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4641Virtual LANs, VLANs, e.g. virtual private networks [VPN]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

The invention relates to a method for operating virtual networks. The method comprises providing a first virtual network comprising a first set of network ports assigned to a first virtualization tag (T1) and a second virtual network comprising a second set of network ports assigned to a second virtualization tag (T2), the first and the second virtual network having compatible address ranges and being adapted to only pass data packets within them, providing a first network node having a source address (SA) in the first virtual network and being operationally connected to a first port (P1) assigned to the first virtual network by means of the first virtualization tag (T1), monitoring the first network node in order to detect a predetermined condition, and, on detection of the predetermined condition, reassigning the first port (P1) to the second virtual network by means of assigning the second virtualization tag (T2) to the first port (P1), such that no data packet can be passed from the first network node (N1) to a second network node (N2) connected to a second port (P2) assigned to the first virtual network by means of the first virtualization tag (T1) directly and keeping of the source address (SA) for the first network node (N1) in the second virtual network (104). The invention further relates to a further method for operation virtual networks, a data network system and a computer program product adapted to perform the inventive methods.

Description

가상 네트워크 작동 방법, 데이터 네트워크 시스템 및 컴퓨터 판독 가능한 매체{METHODS FOR OPERATING VIRTUAL NETWORKS, DATA NETWORK SYSTEM, COMPUTER PROGRAM AND COMPUTER PROGRAM PRODUCT}METHODS FOR OPERATING VIRTUAL NETWORKS, DATA NETWORK SYSTEM, COMPUTER PROGRAM AND COMPUTER PROGRAM PRODUCT}

본 발명은 제 1 가상화 태그에 할당된 네트워크 포트의 제 1 세트를 포함하는 제 1 가상 네트워크 및 제 2 가상화 태그에 할당된 네트워크 포트의 제 2 세트를 포함하는 제 2 가상 네트워크를 갖는 가상 네트워크로서, 제 1 및 제 2 가상 네트워크는 호환 가능한 어드레스 범위를 가지며 그 내에서 데이터 패킷을 단지 전송하는 가상 네트워크를 작동시키는 방법에 관한 것이다. 본 발명은 또한 데이터 네트워크 시스템, 컴퓨터 프로그램 및 본 발명의 방법을 수행하도록 채택된 컴퓨터 프로그램 제품에 관한 것이다.A virtual network having a first virtual network comprising a first set of network ports assigned to a first virtualization tag and a second virtual network comprising a second set of network ports assigned to a second virtualization tag, The first and second virtual networks relate to a method of operating a virtual network having a compatible address range and only transmitting data packets therein. The invention also relates to a data network system, a computer program and a computer program product adapted to carry out the method of the invention.

가상 네트워크는 물리적 네트워크, 특히, LAN(local area network)의 논리적 세그먼트이다. 예를 들어, 가상 LAN(virtual local area network : VLAN)은, 특히 VLAN 식별 태그를 포함하는 추가적인 패킷 헤더에 의해 통상적인 이더넷 표준안 IEEE 802.1을 확장하는 IEEE 802.lq 표준안에 기술되어 있다. IEEE 802.lq 표준안 과 단지 호환 가능한 스위치 및 다른 활성 네트워크 구성요소는 패킷 헤더에 포함된 것에 대응하는 VLAN 태그로 VLAN에 대해 구성되는 네트워크 포트를 통해 데이터 패킷을 단지 전송한다.A virtual network is a logical segment of a physical network, in particular a local area network (LAN). For example, a virtual local area network (VLAN) is described in the IEEE 802.lq standard, which extends the conventional Ethernet standard IEEE 802.1, in particular by an additional packet header containing a VLAN identification tag. Switches and other active network components that are only compatible with the IEEE 802.lq standard only transmit data packets through a network port configured for a VLAN with a VLAN tag corresponding to that contained in the packet header.

가상 네트워크는, 예를 들어, 인터넷과 같은 안전하지 않은 개방 네트워크 내에서 안전한 폐쇄 네트워크를 생성하는데 사용될 수 있다. 또한, 가상 네트워크는 데이터 패킷 간의 네트워크 충돌의 수를 감소시키는데 사용될 수 있으므로 네트워크 성능을 향상시킨다.The virtual network can be used to create a secure closed network within an insecure open network such as the Internet, for example. In addition, virtual networks can be used to reduce the number of network collisions between data packets, thereby improving network performance.

그러나, 이들 및 유사한 장점이 있는 목적을 성취하기 위해, 네트워크 노드, 예를 들어, 네트워크에 접속된 컴퓨터, 및 네트워크 설비, 예를 들어, 스위치는 적절하게 구성되어야 한다. 예를 들어, 컴퓨터는 가상 네트워크 내에서 유효하고 고유한 어드레스를 필요로 한다. 또한, 컴퓨터는, 예를 들어, 메일 또는 웹 서버와 같은 중요한 서비스 노드의 유효 어드레스로 구성되어야 한다. 스위치, 라우터 및 다른 네트워크 설비는, 특히, 적절한 가상 네트워크 포트 할당으로 구성될 필요가 있다. 이러한 구성 프로세스는 장황하고 에러가 발생하기 쉽다. However, in order to achieve these and similarly objective purposes, network nodes, for example computers connected to a network, and network equipment, for example switches, must be properly configured. For example, a computer needs a valid and unique address within a virtual network. In addition, the computer should be configured with the effective address of an important service node, for example a mail or web server. Switches, routers, and other network facilities, in particular, need to be configured with proper virtual network port assignments. This configuration process is verbose and error prone.

결과적으로, 네트워크 행정자(administrator)에 의해 실제로 단지 소수의 가상 네트워크가 구성된다. 또한, 네트워크 노드는 하나의 가상 네트워크로부터 다른 가상 네트워크로 거의 이동되지 않는다. 이것은, 예를 들어, 오동작하는 네트워크 노드를 분리하거나 또는 가상 네트워크를 조정하는 것을 네트워크 성능을 변경하는 가상 네트워크에 의해 달성될 수 있는 목적의 일부에 대조적이다.As a result, only a few virtual networks are actually configured by the network administrator. Also, network nodes are rarely moved from one virtual network to another. This is in contrast to some of the objectives that can be achieved, for example, by disconnecting a malfunctioning network node or adjusting a virtual network by a virtual network that alters network performance.

따라서, 가상 네트워크를 작동시키는 향상된 방법 및 데이터 네트워크 시스 템에 대한 필요성이 존재한다.Thus, there is a need for an improved method of operating a virtual network and a data network system.

발명의 개요Summary of the Invention

본 발명의 일 측면에 따르면, 가상 네트워크를 작동시키는 방법이 제공된다. 본 방법은 제 1 가상화 태그에 할당된 네트워크 포트의 제 1 세트를 포함하는제 1 가상 네트워크 및 제 2 가상화 태그에 할당된 네트워크 포트의 제 2 세트를 포함하는 제 2 가상 네트워크를 제공하는 단계로서, 상기 제 1 및 제 2 가상 네트워크는 호환 가능한 어드레스 범위를 가지며 그 내에서 데이터 패킷을 단지 전송하는 단계를 포함한다. 본 방법은 또한 상기 제 1 가상 네트워크 내에 소스 어드레스(source address : SA)를 가지며, 상기 제 1 가상화 태그에 의해 상기 제 1 가상 네트워크에 할당된 제 1 포트에 작동 가능하게 접속되는 제 1 네트워크 노드를 제공하는 단계와, 사전 결정된 상태를 검출하기 위해 상기 제 1 네트워크 노드를 모니터링하는 단계와, 상기 사전 결정된 상태의 검출 시에, 상기 제 1 가상화 태그에 의해 제 1 네트워크 노드로부터 상기 제 1 가상 네트워크에 할당된 제 2 포트에 접속된 제 2 네트워크 노드로 어떠한 데이터 패킷도 직접 전송될 수 없고, 상기 제 2 가상 네트워크 내의 제 1 네트워크 노드에 대한 소스 어드레스를 유지하도록, 상기 제 1 포트에 상기 제 2 가상화 태그를 할당하는 것에 의해, 상기 제 2 가상 네트워크에 상기 제 1 포트를 재할당하는 단계를 포함한다.According to one aspect of the invention, a method of operating a virtual network is provided. The method includes providing a first virtual network comprising a first set of network ports assigned to a first virtualization tag and a second virtual network comprising a second set of network ports assigned to a second virtualization tag, The first and second virtual networks have compatible address ranges and include only transmitting data packets therein. The method also includes a first network node having a source address (SA) in the first virtual network and operably connected to a first port assigned to the first virtual network by the first virtualization tag. Providing, monitoring the first network node to detect a predetermined state, and upon detection of the predetermined state, from the first network node to the first virtual network by the first virtualization tag. No second data packet can be sent directly to the second network node connected to the assigned second port, and the second virtualization on the first port to maintain the source address for the first network node in the second virtual network. Reallocating the first port to the second virtual network by assigning a tag.

제 2 가상화 태그를 주어진 제 1 포트에 할당함으로써,제 1 네트워크 노드는 제 1 가상 네트워크로부터 제 2 가상 네트워크로 이동될 수 있다. 제 1 및 제 2 가상 네트워크는 호환 가능한 어드레스 범위를 갖고 제 1 네트워크 노드의 네트워크 어드레스는 제 2 가상 네트워크에서 동일하게 유지되므로, 제 1 네트워크 노드를 제 1 가상 네트워크로부터 제 2 가상 네트워크로 이동하는 것은 제 1 네트워크 노드에 대해 투명하다. 그러므로, 제 1 네트워크 노드의 구성은 변경될 필요가 없다. 따라서, 예를 들어, 제 1 가상 네트워크로부터 제 1 네트워크 노드를 분리하기 위해 하나의 가상 네트워크로부터 다른 가상 네트워크로 네트워크 노드가 이동될 수 있다.By assigning a second virtualization tag to a given first port, the first network node can be moved from the first virtual network to the second virtual network. Since the first and second virtual networks have compatible address ranges and the network address of the first network node remains the same in the second virtual network, moving the first network node from the first virtual network to the second virtual network Transparent to the first network node. Therefore, the configuration of the first network node does not need to be changed. Thus, for example, a network node may be moved from one virtual network to another to separate the first network node from the first virtual network.

본 발명의 제 1 측면의 유용한 실시예에 따르면, 제 1 상태로부터 제 2 상태로의 상태 머신의 상태 천이에 의해 사전 결정된 상태가 주어지며, 상기 상태 머신의 각각의 상태는 가상화 태그로의 각각의 네트워크 포트의 할당과 연관된다.According to a useful embodiment of the first aspect of the invention, a predetermined state is given by a state transition of a state machine from a first state to a second state, each state of each state machine being assigned to a virtualized tag. Associated with the assignment of network ports.

사전 결정된 상태를 검출하는 상태 머신을 이용함으로써, 다수의 가상 네트워크의 구성이 생성되고 상태 머신의 상태와 연관될 수 있다. 예를 들어, 네트워크 고장 또는 네트워크 행정자 초기화 액션(administrator-initiated action)의 발생과 같은 이벤트(events)는 상태 천이 및 그에 따른 새로운 가상 네트워크의 구성을 트리거하는데 사용될 수 있다.By using a state machine to detect a predetermined state, configurations of multiple virtual networks can be created and associated with the state of the state machine. For example, events such as a network failure or the occurrence of a network administrator-initiated action can be used to trigger a state transition and thus the construction of a new virtual network.

본 발명의 제 2 측면에 따르면, 가상 네트워크를 작동시키는 방법이 제공된다. 본 방법은 제 1 가상화 태그에 할당된 네트워크 포트의 제 1 세트를 포함하는 제 1 가상 네트워크 및 제 2 가상화 태그 할당된 네트워크 포트의 제 2 세트를 포함하는 제 2 가상 네트워크를 제공하는 단계로서, 상기 제 1 및 제 2 가상 네트워크는 호환 가능한 어드레스 범위를 가지며 그 내에서 데이터 패킷을 단지 전송하는 단계를 포함한다. 본 발명은 또한 상기 제 1 가상화 태그에 의해 상기 제 1 가상 네트워크에 할당된 제 1 변환기 포트 및 상기 제 2 가상화 태그에 의해 상기 제 2 가상 네트워크에 할당된 제 2 변환기 포트에 작동 가능하게 접속되는 어드레스 변환기를 제공하는 단계와, 상기 제 2 가상 네트워크의 제 1 변환기 포트에 접속된 송신기 노드에 의해 목적지 어드레스(destination address : DA)를 갖는 패킷 헤더를 포함하는 데이터 패킷을 전송하는 단계와, 상기 송신기 포트에 의해 상기 제 2 가상화 태그로 상기 데이터 패킷을 마킹하는 단계와, 상기 패킷 헤더의 상기 목적지 어드레스(DA)를 갖는 목적지 노드가 상기 제 2 가상 네트워크 내에 포함되는지를 판정하는 단계와, 상기 목적지 노드가 상기 제 2 가상 네트워크 내에 포함되지 않는 것으로 판정하는 경우, 상기 어드레스 변환기를 통해, 상기 제 1 또는 제 2 가상화 태그헤 각각 할당된 상기 제 1 또는 제 2 변환기 포트에 데이터 패킷을 전송함으로써, 또 다른 프로세싱을 위해 상기 제 1 또는 제 2 가상 네트워크 내에 포함되는 수신기 노드로 상기 데이터 패킷을 리다이렉팅(redirecting)하는 단계를 포함한다.According to a second aspect of the invention, a method of operating a virtual network is provided. The method includes providing a first virtual network comprising a first set of network ports assigned to a first virtualized tag and a second virtual network comprising a second set of second virtualized tag assigned network ports. The first and second virtual networks have compatible address ranges and include only transmitting data packets therein. The invention also provides an address operably connected to a first translator port assigned to the first virtual network by the first virtualization tag and a second translator port assigned to the second virtual network by the second virtualization tag. Providing a translator, transmitting a data packet comprising a packet header having a destination address (DA) by a transmitter node connected to a first translator port of the second virtual network; Marking the data packet with the second virtualization tag, determining whether a destination node having the destination address (DA) of the packet header is included in the second virtual network; And if it is determined that it is not included in the second virtual network, Via the data packet to the first or second translator port assigned respectively to the first or second virtualized tag, thereby transmitting the data to a receiver node included in the first or second virtual network for further processing. Redirecting the packet.

각각의 가상 네트워크에서 네트워크 포트를 갖는 어드레스 변환기에 의해 제 1 및 제 2 가상 네트워크를 접속함으로써, 데이터 패킷은 하나의 가상 네트워크로부터 다른 가상 네트워크로 라우팅될 수 있다. 따라서, 제 2 네트워크에 위치하는 송신기 노드로부터 제 1 또는 제 2 가상 네트워크에 위치하는 수신기 노드로 데이터 패킷을 리다이렉팅하는 것이 가능하다. 이것은 특히, 송신기 노드가 제 1 가상 네트워크로부터 제 2 가상 네트워크로 이미 이동한 경우에, 변환기 노드로부터 수 신기 노드로의 요구를 성공적으로 응답하도록 허용한다.By connecting the first and second virtual networks by address translators with network ports in each virtual network, data packets can be routed from one virtual network to another. Thus, it is possible to redirect data packets from a transmitter node located in the second network to a receiver node located in the first or second virtual network. This allows for a successful response from the converter node to the receiver node, especially if the transmitter node has already moved from the first virtual network to the second virtual network.

본 발명의 제 2 측면의 바람직한 실시예에 따르면, 상기 수신기 노드는 상기 제 1 가상화 네트워크에 포함되며, 리다이렉팅하는 단계에서, 상기 패킷 헤더에 포함된 소스 어드레스는 상기 제 1 가상 네트워크 내의 상기 어드레스 변환기에 할당된 제 1 변환기 어드레스로 변경되고, 수정된 데이터 패킷은 상기 수신기 노드로의 전송을 위해 상기 제 1 변환기 포트에 전송된다.According to a preferred embodiment of the second aspect of the invention, the receiver node is included in the first virtualized network, and in the redirecting step, the source address included in the packet header is the address translator in the first virtual network. The modified data packet is sent to the first translator port for transmission to the receiver node.

패킷 헤더의 소스 어드레스를 변경함으로써, 제 2 가상 네트워크 내의 송신기 노드로부터 발신된다 하더라도, 제 1 변환기 포트로부터 송신되는 연관된 데이터 패킷이 제 1 가상 네트워크 내에서 유효한 채로 유지된다. 이러한 동작은, 예를 들어, 네트워크 어드레스 변환 디바이스에 의해 성취될 수 있다.By changing the source address of the packet header, the associated data packet sent from the first translator port remains valid within the first virtual network even if it originates from a transmitter node in the second virtual network. Such an operation can be accomplished by, for example, a network address translation device.

본 발명의 제 2 측면의 다른 바람직한 실시예에 따르면, 상기 수신기 노드 상기 제 2 가상화 네트워크에 포함되고, 수신기 어드레스를 가지며, 리다이렉팅하는 단계에서, 상기 패킷 헤더에 포함된 목적지 어드레스는 상기 수신기 어드레스로 변경되고, 상기 수정된 데이터 패킷은 상기 수신기 노드로의 전송을 위해 상기 제 2 변환기 포트에 전송된다.According to another preferred embodiment of the second aspect of the invention, the receiver node is included in the second virtualized network, has a receiver address, and redirects, wherein a destination address included in the packet header is directed to the receiver address. And the modified data packet is sent to the second translator port for transmission to the receiver node.

목적지 어드레스를 변경하고 제 2 가상 네트워크 내에서 변경된 데이터 패킷을 리다이렉팅함으로써, 송신기 노드로부터의 요구가 제 2 가상 네트워크에 투명하게 포함된 새로운 수신기 노드로 리다이렉팅될 수 있다.By changing the destination address and redirecting the changed data packet within the second virtual network, the request from the transmitter node can be redirected to a new receiver node transparently included in the second virtual network.

본 발명의 제 2 측면의 다른 바람직한 실시예에 따르면, 상기 수신기 노드는 애플리케이션 프로토콜에 고유한 프록시 노드이다.According to another preferred embodiment of the second aspect of the invention, the receiver node is a proxy node specific to the application protocol.

애플리케이션에 고유한 프록시 노드를 제공함으로써, 송신기 노드로부터 송신된 데이어 패킷 내에 포함된 요구가 원래의 목적기 어드레스 대신에 해당 프록시로 리다이렉팅될 수 있다. 이것은, 예를 들어, 제 1 가상 네트워크 내에서 발신되는 데이터 패킷과 상이하게 제 2 가상 네트워크 내에서 분리된 송신기 노드로부터 전송된 데이터 패킷을 취급하도록 허용한다.By providing a proxy node unique to the application, the requests contained in the data packet sent from the sender node can be redirected to that proxy instead of the original destination address. This allows, for example, to handle data packets sent from separate transmitter nodes in the second virtual network differently than data packets originating within the first virtual network.

본 발명의 제 3 측면에 따르면, 대응하는 가상화 태그에 의해 각각의 포트가 가상 네트워크에 할당되는 다수의 포트를 포함하는 스위치와, 상기 제 1 가상화 태그에 의해 상기 제 1 가상 네트워크에 할당된 스위치의 제 1 변환기 포트 및 상기 제 2 가상화 태그에 의해 상기 제 2 가상 네트워크에 할당된 스위치의 제 2 변환기 포트에 작동 가능하게 접속되는 어드레스 변환기와, 소스 어드레스(SA)를 가지며 상기 제 1 가상화 태그에 의해 상기 제 1 가상 네트워크에 할당된 제 1 포트에 작동 가능하게 접속되는 제 1 네트워크 노드를 포함하며, 본 발명의 제 1 측면에 따른 방법을 수행하는 데이터 네트워크 시스템이 제공된다.According to a third aspect of the invention, there is provided a switch comprising: a switch comprising a plurality of ports, each port being assigned to a virtual network by a corresponding virtualization tag, and a switch assigned to the first virtual network by the first virtualization tag. An address translator operatively connected to a second translator port of a switch assigned to the second virtual network by a first translator port and the second virtualized tag, and having a source address (SA) and by the first virtualized tag A data network system is provided, comprising a first network node operably connected to a first port assigned to the first virtual network, the method performing a method according to the first aspect of the invention.

제 1 및 제 2 가상 네트워크에 작동 가능하게 접속된 어드레스 변환기를 데이터 프로세싱 시스템에 제공함으로써, 제 1 네트워크 노드를 재구성할 필요 없이 제 1 가상 네트워크로부터 제 2 가상 네트워크로 제 1 네트워크 노드가 이동될 수 있다.By providing the data processing system with an address translator operably connected to the first and second virtual networks, the first network node can be moved from the first virtual network to the second virtual network without having to reconfigure the first network node. have.

본 발명의 제 3 측면의 바람직한 실시예에 따르면, 데이터 네트워크 시스템은 상기 제 1 가상 네트워크에 작동 가능하게 접속된 제 2 네트워크 노드 또는 상기 제 2 가상 네트워크에 작동 가능하게 접속된 제 3 네트워크 노드를 더 포함하 며, 본 발명의 제 2 측면에 따른 방법을 수행하도록 또한 채택된다.According to a preferred embodiment of the third aspect of the invention, the data network system further comprises a second network node operably connected to the first virtual network or a third network node operably connected to the second virtual network. It is also adapted to carry out the method according to the second aspect of the invention.

제 1 및 제 2 가상 네트워크에 제 2 또는 제 3 네트워크 노드를 제공함으로써, 제 1 가상 네트워크 내의 제 2 네트워크 노드 또는 제 2 가상 네트워크 내의 제 3 네트워크 노드로 제 1 네트워크 노드로부터 전송된 데이터 패킷이 리다이렉팅될 수 있다.By providing a second or third network node in the first and second virtual networks, data packets sent from the first network node to the second network node in the first virtual network or the third network node in the second virtual network are redirected. Can be lected.

본 발명의 제 4 측면에 따르면, 본 발명의 제 1 측면 또는 제 2 측면에 따른 방법의 모든 단계를 수행하는 프로그램 인스트럭션을 포함하는 컴퓨터 프로그램이 제공된다.According to a fourth aspect of the invention, there is provided a computer program comprising program instructions for performing all the steps of the method according to the first or second aspect of the invention.

본 발명의 제 5 측면에 따르면, 본 발명의 제 1 측면 또는 제 2 측면에 따른 방법의 모든 단계를 수행하는 적어도 하나의 프로세서에 의해 실행 가능한 프로그램 인스트럭션을 구현하는 컴퓨터 판독 가능한 매체를 포함하는 컴퓨터 프로그램 제품이 제공된다.According to a fifth aspect of the invention, a computer program comprising a computer readable medium embodying program instructions executable by at least one processor for performing all steps of the method according to the first or second aspect of the invention. Product is provided.

도면의 간단한 설명Brief description of the drawings

본 발명 및 그 실시예는 첨부되는 도면과 함께 취해지는 본 발명에 따른 바람직한 실시예로서 단지 예시적인 실시예의 후술하는 설명을 참조하여 보다 완전하게 이해될 것이다.The invention and its embodiments will be more fully understood with reference to the following description of exemplary embodiments only as preferred embodiments according to the invention taken in conjunction with the accompanying drawings.

도 1(a)는 제 1 및 제 2 가상 네트워크를 포함하는 개략적인 네트워크 셋업으로서, 제 1 네트워크 노드가 제 1 가상 네트워크에 포함되는 것을 도시하는 도면이고,FIG. 1A is a schematic network setup including first and second virtual networks, illustrating that a first network node is included in a first virtual network, and FIG.

도 1(b)는 제 1 및 제 2 가상 네트워크를 포함하는 개략적인 네트워크 셋업으로서, 제 1 네트워크 노드가 제 2 가상 네트워크에 포함되는 것을 도시하는 도면이며, FIG. 1B is a schematic network setup including first and second virtual networks, illustrating that a first network node is included in a second virtual network, and FIG.

도 2는 어드레스 변환기의 개략적인 내부 셋업을 도시하는 도면이고, 2 shows a schematic internal setup of an address translator,

도 3은 가상 네트워크 구성을 결정하는 유한 상태 머신의 개략적인 상태도이며,3 is a schematic state diagram of a finite state machine for determining a virtual network configuration,

도 4는 가상 네트워크를 작동시키는 제 1 방법의 실시예의 플로우차트이고,4 is a flowchart of an embodiment of a first method of operating a virtual network,

도 5는 가상 네트워크를 작동시키는 제 2 방법의 실시예의 플로우차트이다.5 is a flowchart of an embodiment of a second method of operating a virtual network.

도 1(a)는 제 1 가상 네트워크(103) 및 제 2 가상 에트워크(104)를 포함하는 개략적인 네트워크 셋업을 도시한다. 셋업은 스위치(100), 라우터(109) 및 어드레스 변환기(106)를 포함한다. 스위치(100)는 제 1 가상화 태그(T!)에 의해 제 1 가상 네트워크(103)에 또는 제 2 가상화 태그(T2)에 의해 제 2 가상 네트워크(104)에 할당될 수 있는 5개의 포트(P1, P2, P3, P4 및 P5)를 포함한다. 주어진 예에서, 네트워크 포트의 제 1 세트(101)는 제 1 가상화 태그(T1)에 할당되는 포트(P1, P2 및 P4)를 포함한다. 네트워크 포트(P3 및 P5)는 네트워크 포트의 제 2 세트(105)에 할당된다.FIG. 1A shows a schematic network setup that includes a first virtual network 103 and a second virtual network 104. The setup includes a switch 100, a router 109 and an address translator 106. The switch 100 has five ports P1 that can be assigned to the first virtual network 103 by the first virtualization tag T! Or to the second virtual network 104 by the second virtualization tag T2. , P2, P3, P4 and P5). In the given example, the first set 101 of network ports includes ports P1, P2 and P4 that are assigned to the first virtualization tag T1. Network ports P3 and P5 are assigned to the second set 105 of network ports.

도입부에서 기술된 바와 같은 네트워크 스위치(100)를 이용하여, 제 1 가상 네트워크(103)에 할당된 임의의 네트워크 포트(P1, P2 또는 P4)에 의해 수신된 각각의 데이터 패킷은 제 1 가상화 태그(T1)로 마킹되는 한편, 네트워크 포트(P3 및 P5)로부터 수신된 데이터 패킷이 제 2 가상화 태그(T2)로 마킹될 것이다. 반대로, 제 1 도는 제 2 가상화 태그(T1 또는 T2)로 마킹된 데이터 패킷은 비매칭 가상화 태그와 연관된 네트워크 포트를 통해 전달되지 않을 것이다.Using the network switch 100 as described in the introduction, each data packet received by any network port (P1, P2 or P4) assigned to the first virtual network 103 is converted to a first virtualization tag ( While marked with T1), data packets received from network ports P3 and P5 will be marked with a second virtualization tag T2. Conversely, data packets marked with FIG. 1 or a second virtualization tag T1 or T2 will not be forwarded through the network port associated with the non-matching virtualization tag.

네트워크 셋업은 네트워크 포트(P1, P2 및 P3)에 접속되고 소스 어드레스(SA), 목적지 어드레스(DA), 및 수신기 어드레스(RA)를 각각 갖는 3개의 네트워크 노드(N1, N2 및 N3)를 포함한다. 주어진 예에서, 네트워크 노드(N1, N2 및 N3)는 스위치(100)에 접속된 컴퓨터이다. 일반적으로 임의의 유형의 네트워크 기기는 네트워크 포트(P1, P2 및 P3)에 접속될 수 있다. 또한, 라우터(109)는 외부 네트워크(108), 예를 들어, 인터넷에 접속된다.The network setup includes three network nodes N1, N2 and N3 connected to network ports P1, P2 and P3 and having a source address SA, a destination address DA and a receiver address RA, respectively. . In the given example, network nodes N1, N2 and N3 are computers connected to switch 100. In general, any type of network device may be connected to the network ports P1, P2, and P3. In addition, the router 109 is connected to an external network 108, for example, the Internet.

네트워크 노드(N1, N2 및 N3)는 네트워크 포트(P1 내지 P3) 자신에 의해 인가된 네트워크 태그(T1 또는 T2)를 판독하고, 세팅할 수 없거나, 혹은 달리 수동 조작할 수 없기 때문에, 예를 들어, 네트워크 노드(N3)로부터 네트워크 노드(N1 또는 N2)로 데이터 패킷이 직접 전송될 수 없다. For example, since the network nodes N1, N2, and N3 cannot read, set, or otherwise manually operate the network tags T1 or T2 authorized by the network ports P1 to P3 themselves. The data packet cannot be transmitted directly from the network node N3 to the network node N1 or N2.

어드레스 변환기(106)는 스위치(100)의 제 1 어드레스 변환기 포트(P4)에 대한 라우터(100)에 의해 제 1 가상 네트워크(103)에 접속된다. 또한, 어드레스 변환기(106)는 제 2 가상 네트워크(104)에 대한 제 2 어드레스 변환기 포트(P5)에 의해 접속된다. 주어진 예에서, 어드레스 변환기(106)는 외부 네트워크 어드레스 변환 NAT 디바이스이다. 그러나, 실제로, 어드레스 변환기(106)는 스위치(100)의 통합 부분일 수 있으며, 이 경우 제 1 및 제 2 변환기 포트(P4, P5)는 물리적 접속이 아니라 논리적 포트일 수 있다. 이러한 애플리케이션에 관해, 어드레스 변환기가 두 가상 네트워크(103 및 104)에서 데이터 패킷을 송수신할 수 있음이 충분히 이해될 것이다.The address translator 106 is connected to the first virtual network 103 by the router 100 for the first address translator port P4 of the switch 100. The address translator 106 is also connected by a second address translator port P5 to the second virtual network 104. In the given example, address translator 106 is an external network address translating NAT device. In practice, however, the address translator 106 may be an integral part of the switch 100, in which case the first and second translator ports P4 and P5 may be logical ports, not physical connections. With respect to this application, it will be fully understood that the address translator can send and receive data packets in both virtual networks 103 and 104.

제시된 예에 따르면, 네트워크 노드(N1)에 대해 사전 결정된 상태가 검출된다. 이러한 상태는, 예를 들어, 네트워크 노드(N1)의 바이러스(virus) 또는 웜 인펙션(worm infection), 네트워크 노드(N1)의 다른 부분적인 또는 완전한 오작동, 침입 방지 시스템(intrusion prevention system : IPS)일 수 있거나, 또는 네트워크 셋업을 재구성함으로써 응답될 수 있는 비정상적인 어드레스에 대한 요구나 고 또는 저 네트워크 트래픽과 같은 임의의 다른 상태일 수 있다. 물론, 예를 들어, 네트워크 행정자의 요구에 대해 이러한 상태를 수동으로 트리거하는 것이 또한 가능하다.According to the example presented, a predetermined state is detected for network node N1. Such a condition may include, for example, a virus or worm infection of network node N1, another partial or complete malfunction of network node N1, an intrusion prevention system (IPS). Or any other state, such as a request for an abnormal address or high or low network traffic, which may be answered by reconfiguring the network setup. Of course, it is also possible to manually trigger this condition, for example for the needs of the network administrator.

사전 결정된 상태의 모니터링은 노드(N1) 자체에 의해, 예를 들어, 바이러스 검출 프로그램 또는 성능 모니터에 의해, 네트워크 설비, 예를 들어, 스위치(100), 라우터(109) 또는 어드레스 변환기(106) 중 하나 이상에 의해, 또는 도 1(a)에 도시되지 않은 방화벽 또는 네트워크 성능 모니터와 같은 외부 디바이스에 의해 수행될 수 있다.The monitoring of the predetermined state is carried out by the node N1 itself, for example by a virus detection program or a performance monitor, among the network facilities, for example the switch 100, the router 109 or the address translator 106. It may be performed by one or more, or by an external device such as a firewall or network performance monitor not shown in FIG.

도 1(b)는 제 1 및 제 2 가상 네트워크(103 및 104)를 각각 포함하는 유사한 개략적인 네트워크 셋업을 도시한다. 도 1(a)에 도시된 구성에 비해, 도 1(b)에 도시된 셋업은 네트워크 노드(N1)가 제 2 가상 네트워크(104)에 속하도록 네트워크 노드(N1)가 접속되는 네트워크 포트(P1)가 제 2 가상화 태그(T2)에 할당된다는 점 에서 상이하다. FIG. 1B shows a similar schematic network setup that includes first and second virtual networks 103 and 104, respectively. Compared to the configuration shown in FIG. 1A, the setup shown in FIG. 1B is a network port P1 to which the network node N1 is connected such that the network node N1 belongs to the second virtual network 104. ) Is assigned to the second virtualization tag T2.

제 1 가상 네트워크(103)로부터 제 2 가상 네트워크(104)로 네트워크 노드(N1)를 논리적으로 이동함으로써, 사전 결정된 상태를 모니터링하여 검출된 위협이 방지될 수 있다. 본 예에서, 제 1 가상 네트워크(103)는 다른 네트워크 노드(N2) 또느 외부 네트워크(108)에 대한 완전한 액세스에 의한 생성 상태 가상 네트워크로 간주되는 한편, 제 2 가상 네트워크(104)는 다른 네트워크 리소스로의 제한된 액세스에 의한 분리 네트워크로 간주된다.By logically moving the network node N1 from the first virtual network 103 to the second virtual network 104, a threat detected by monitoring a predetermined condition can be prevented. In this example, the first virtual network 103 is considered a created state virtual network with full access to another network node N2 or external network 108, while the second virtual network 104 is a different network resource. It is considered a separate network with limited access to the network.

예를 들어, 네트워크 노드(N1) 상에서 바이러스 인펙션이 검출되는 경우, 네트워크 노드는 제 2 가상 네트워크로 신속하게 이동될 수 있어, 제 1 가상 네트워크(103)에 접속된 제 2 네트워크 노드(N2)의 인펙션을 방지한다. 마찬가지로, 네트워크 노드(N1)는 외부 네트워크(108)로부터 분리될 수 있어 네트워크 노드(N1)로부터 외부 네트워크(108)로 잠재적으로 분류된 정보의 전송을 방지한다.For example, if virus infection is detected on network node N1, the network node can be quickly moved to the second virtual network, so that the second network node N2 connected to the first virtual network 103. Prevents infection. Similarly, network node N1 may be separated from external network 108 to prevent transmission of potentially classified information from network node N1 to external network 108.

도 2는 어드레스 변환기(106)의 내부 셋업을 도시한다. 어드레스 변환기(106)는 제 1 가상 네트워크(103)에 할당된 제 1 변환기 포트(P4)와 함께 사용하기 위한 외부 어드레스(107)를 포함한다. 어드레스 변환기(106)의 모든 다른 내부 구성요소는 제 2 가상화 태그(T2)에 의해 제 2 가상 네트워크(104)의 어드레스에 할당되며, 이는 이들이 네트워크 포트의 제 2 세트(105)의 포트에 접속된 네트워크 노드에 대해 액세스 가능하다는 것을 의미한다.2 shows an internal setup of the address translator 106. The address translator 106 includes an external address 107 for use with the first translator port P4 assigned to the first virtual network 103. All other internal components of the address translator 106 are assigned to addresses of the second virtual network 104 by the second virtualization tag T2, which is connected to the ports of the second set 105 of network ports. This means that it is accessible to network nodes.

주어진 예에서, 어드레스 변환기는 HTTP, SMTP, POP3 및 IMAP와 같은 상이한 애플리케이션 레벨 프로토콜에 할당된 내부 프록시(204)를 포함한다. 프록시(204) 는 선택적으로 응답하거나, 또는 애플리케이션 요구를 고유한 프로토콜에 전송할 수 있다. 또한, 어드레스 변환기(106)는 패치(patch) 서버(205), 디스인펙션(disinfection) 서버(206) 및 재접속 이니시에이터(initiator)(207)를 포함한다.In the given example, the address translator includes an internal proxy 204 assigned to different application level protocols such as HTTP, SMTP, POP3, and IMAP. The proxy 204 may optionally respond or send an application request to a unique protocol. Address translator 106 also includes a patch server 205, a disinfection server 206, and a reconnect initiator 207.

패치 서버(205), 디스인펙션 서버(206) 및 재접속 이니시에이터(207)는 내부에 포함된 네트워크 노드에 대해 고유한 제 2 가상 네트워크(104)에 서비스를 제공하는데 사용될 수 있다. 예를 들어, 제 2 가상 네트워크(104)가 바이러스 또는 다른 유해한 프로그램에 의해 감염된 제 1 네트워크 노드(N1)를 분리하도록 사용되는 경우, 디스인펙션 서버(206)는 바이라스를 제거하는데 사용될 수 있고, 재접속 이니시에이터(207)가 디스인펙티드(disintected) 네트워크 노드(N1)를 제 1 가상 네트워크(103)로 다시 이동하도록 사용되기 이전에, 패치 서버(205)는 향후의 인펙션을 방지하기 위해 네트워크 노드(N1) 상에서 실행되는 소프트웨어에 대해 보안 업데이트를 인스톨하는데 사용될 수 있다.The patch server 205, the disinfection server 206, and the reconnect initiator 207 may be used to provide a service to the second virtual network 104 unique to the network nodes contained therein. For example, if the second virtual network 104 is used to isolate the first network node N1 infected by a virus or other harmful program, the disinfection server 206 may be used to remove the virus. Before the reconnect initiator 207 is used to move the disinfected network node N1 back to the first virtual network 103, the patch server 205 may be configured to prevent future infections. It can be used to install security updates for software running on network node N1.

어드레스 변환기(106)는 어드레스 매핑 모듈(208)을 더 포함하며, 이 어드레스 매핑 모듈(208)은 제 1 가상 네트워크(103) 내의 어드레스 변환기(106)의 외부 어드레스(107)를 이용하여 제 2 가상 네트워크(104)의 네트워크 노드의 어드레스를 제 1 가상 네트워크(103)에 전송된 데이터 패킷과 연관시킬 수 있다. 예를 들어, 소위 네트워크 어드레스 변환 디바이스(network address translation : NAT)는 제 1 가상 네트워크(103)를 제 2 가상 네트워크(104)와 접속하는데 사용될 수 있다. 통상적으로, 네트워크 어드레스 변환 디바이스는 단지 하나의 외부적으로 가시적인 어드레스(107)를 이용하는 인터넷과 같은 외부 네트워크(108)와 사설 네트워 크(104)를 접속하는데 사용된다.The address translator 106 further includes an address mapping module 208, which uses the second virtual address using the external address 107 of the address translator 106 in the first virtual network 103. An address of a network node of network 104 may be associated with a data packet sent to first virtual network 103. For example, a so-called network address translation device (NAT) may be used to connect the first virtual network 103 with the second virtual network 104. Typically, a network address translation device is used to connect a private network 104 with an external network 108 such as the Internet using only one externally visible address 107.

어드레스 변환기(106)는 필터링 모듈(202) 및 인증 모듈(203)을 더 포함한다. 필터링 모듈(202)은 어드레스 매핑 모듈(208)에 의해 수행된 어드레스 매핑을 애플리케이션 또는 어드레스의 사전 정의된 세트로 리다이렉팅하는데 사용될 수 있다. 필터링은, 예를 들어, 요구 이전에 인증 모듈(203)에 제공된 사용자 명칭 및 패스워드를 검증함으로써, 특정한 요구의 인증에 따라 행해질 수 있다.The address translator 106 further includes a filtering module 202 and an authentication module 203. The filtering module 202 may be used to redirect address mapping performed by the address mapping module 208 to a predefined set of applications or addresses. Filtering may be done in accordance with the authentication of a particular request, for example, by verifying the username and password provided to authentication module 203 prior to the request.

어드레스 변환기(106)가 다수의 내부 프록시(204), 서버(205, 206 및 207), 및 다른 모듈(202, 203 및 208)을 포함한다 하더라도, 어드레스 변환기(106)는 스위치(100), 라우터(109) 또는 그 결합의 일부일 수 있다. 등등하게는, 어드레스 변환기(106)의 내부 구성요소(202 또는 208)는 하드웨어 또는 소프트웨어의 개별적인 유닛으로서 구현될 수 있다.Although the address translator 106 includes a number of internal proxies 204, servers 205, 206, and 207, and other modules 202, 203, and 208, the address translator 106 may include a switch 100, a router. 109 or part of a combination thereof. As such, the internal components 202 or 208 of the address translator 106 may be implemented as separate units of hardware or software.

도 3은 단일 네트워크 포트(P1)의 상태를 판정하는 유한 상태 머신(301)의 개략적인 상태도를 도시한다. 먼저, 네트워크 포트(P1)는 제 1 가상 네트워크(103)와 연관된 생성 상태(302)에 있다. 이 경우, 네트워크 포트(P1)에 접속된 노드(N1)는 제 1 가상 네트워크(103) 또는 외부 네트워크(108) 내의 다른 노드(N2)에 대해 완전한 액세스를 갖는다.3 shows a schematic state diagram of a finite state machine 301 that determines the state of a single network port P1. First, the network port P1 is in a creation state 302 associated with the first virtual network 103. In this case, the node N1 connected to the network port P1 has full access to the first virtual network 103 or another node N2 in the external network 108.

일단 웜 또는 바이러스 인펙션이 검출되면, 네트워크 포트(P1)는 상태 천이(305)에 의해 제 2 가상 네트워크(104)와 연관된 통지 상태(303)로 스위칭된다. 이 상태에서, 네트워크 노드(N1)의 사용자 또는 네트워크 행정자에게 인펙션이 통지될 수 있다.Once a worm or virus infection is detected, network port P1 is switched to notification state 303 associated with second virtual network 104 by state transition 305. In this state, the user or network administrator of the network node N1 may be notified of the infection.

그 다음에 사용자 또는 행정자는, 예를 들어, 네트워크 노드(N1)가 제 1 가상 네트워크(103) 및 성공적인 인증에 대한 위협에 노출하지 않는 수동적인 검증 이후에, 상태 천이(307)에 의해 생성 상태(302)와 연관된 제 1 가상 네트워크(103)에 대해 재접속을 요구할 수 있다. The user or administrator then creates a state by state transition 307, for example, after passive verification that network node N1 does not expose the first virtual network 103 and the threat to successful authentication. Reconnection may be requested for the first virtual network 103 associated with 302.

대안적으로 사용자 또는 행정자는 또 다른 상태 천이(306)에 의해 제 3 가상 네트워크와 연관된 고정 상태(304)로 전달되도록 요구할 수 있다. 소정 상태(304)에서, 네트워크 노드(N1)는, 예를 들어 디스인펙션 서버(206) 또는 패치 서버(205)에 대해 바이러스 인펙션을 제거하는데 사용된 서비스에 대한 액세스가 허여될 수도 있다. 패치를 인스톨하고 네트워크 노드(N1)로부터 바이러스 인펙션이 제거된 것으로 검증한 이후에, 제 1 가상화 태그는 포트 P1에 재차 할당되어 상태 천이(308)에 의해 제 1 노드를 생성 상태(302)와 연관된 제 1 가상 네트워크(103)로 리턴할 수 있다.Alternatively, the user or administrator may require that another state transition 306 be communicated to the fixed state 304 associated with the third virtual network. In certain states 304, network node N1 may be granted access to the service used to remove virus infection, for example for disfection server 206 or patch server 205. After installing the patch and verifying that virus infection has been removed from the network node N1, the first virtualized tag is again assigned to port P1 to create the first node by state transition 308 with the state 302 of creation. Return to associated first virtual network 103.

사전 결정된 상태를 모니터링하고 스위치(100)의 포트(P1 내지 P5)에 가상화 태그(T1 또는 T2)를 할당하는 상태 머신(301)을 이용함으로써, 다수의 가상 네트워크(103 및 104)가 용이하게 생성되고, 모니터링되며 구성될 수 있다. 따라서, 네트워크 노드(N1)는 상이한 가상 네트워크의 어드레스 공간이 호환 가능한 한, 네트워크 노드(N1) 자체에 대한 이동이 투명하도록, 하나의 가상 네트워크(103)로부터 다른 가상 네트워크(104)로 자동적으로 이동될 수 있다.By using a state machine 301 that monitors a predetermined state and assigns a virtualization tag T1 or T2 to ports P1 through P5 of the switch 100, multiple virtual networks 103 and 104 are easily created. Can be monitored, configured and configured. Accordingly, the network node N1 automatically moves from one virtual network 103 to another virtual network 104 so that the movement to the network node N1 itself is transparent as long as the address spaces of different virtual networks are compatible. Can be.

이용 가능한 상태 천이는 상태에 의존하므로 상태 머신(301)d 내부에 있으며, 체크를 위한 사전 결정된 상태가 문맥 감지 방식으로 정의될 수 있다. 예를 들어, 통지 상태(303)와 연관된 가상 네트워크(104) 내에 이미 있는 네트워크 노드(N1)는 바이러스를 위해 더 이상 모니터링될 필요가 없다.The available state transitions are internal to the state machine 301d because they depend on the state, and a predetermined state for check can be defined in a context sensitive manner. For example, the network node N1 already in the virtual network 104 associated with the notification state 303 does not need to be monitored for viruses anymore.

상태 머신(301)은 도 3의 간단한 예에서 도시된 바와 같이 유한일 필요는 없다. 특히 대형 네트워크에서 자율적인 에이전트는, 예를 들어, 단일 네트워크에 물리적으로 접속되는, 논리적으로 상관되지 않은 네트워크 리소스의 자동 분리를 위해, 새로운 상태 및 그에 따른 가상 네트워크를 자동적으로 정의하기 위해 사용될 수 있다. 이러한 자동 구성은, 예를 들어, 성능 최적화를 위해 또는 네트워크 보안성을 위해 사용될 수 있다.The state machine 301 need not be finite as shown in the simple example of FIG. In particular, autonomous agents in large networks can be used to automatically define new states and thus virtual networks, for example for the automatic separation of logically unrelated network resources that are physically connected to a single network. . Such automatic configuration can be used, for example, for performance optimization or for network security.

따라서 상태 머신(301)의 상태 및 상태 천이는 전체 네트워크의 구성을 인코딩하는데 사용될 수 있다.Thus, the state and state transitions of state machine 301 can be used to encode the configuration of the entire network.

도 4는 가상 네트워크를 작동시키는 제 1 방법의 실시예의 플로우차트이다. 제 1 단계(402)에서, 제 1 가상 네트워크(103)는 제 1 가상화 태그(T1)에 할당된 네트워크 포트의 제 1 세트(101)를 포함하고, 제 2 가상 네트워크(104)는 제 2 가상화 태그(T2)에 할당된 네트워크 포트의 제 2 세트(105)를 포함하며, 호환 가능한 어드레스 범위를 갖고, 그 내에서 패킷을 단지 전송하는 제 1 및 제 2 가상 네트워크(103 및 104)가 제공된다.4 is a flowchart of an embodiment of a first method of operating a virtual network. In a first step 402, the first virtual network 103 comprises a first set 101 of network ports assigned to a first virtualization tag T1, and the second virtual network 104 is a second virtualization. First and second virtual networks 103 and 104 are provided, comprising a second set 105 of network ports assigned to the tag T2, having a compatible address range, and only transmitting packets therein. .

제 2 단계(402)에서, 제 1 가상 네트워크(103) 내에 소스 어드레스(SA)를 가지며, 제 1 가상화 태그(T1)에 의해 제 1 가상 네트워크(103)에 할당된 제 1 포트(P1)에 작동 가능하게 접속되는 제 1 네트워크 노드(N1)가 제공된다. 예를 들어, 제 1 가상 네트워크(103)는 통상적인 동작 상태에 있는 모든 네트워크 노드(N1, N2)를 포함하도록 사용될 수 있다.In a second step 402, a first port P1 having a source address SA in the first virtual network 103 and assigned to the first virtual network 103 by the first virtualization tag T1. A first network node N1 is operatively connected. For example, the first virtual network 103 can be used to include all network nodes N1, N2 in normal operating state.

단계(403)에서, 사전 결정된 상태에 대해 제 1 네트워크 노드(N1)가 모니터링된다. 이러한 상태는, 예를 들어, 웜 또는 바이러스의 검출, 제 1 네트워크 노드(N1)로부터 또는 제 1 네트워크 노드(N1)로의 비정상적으로 높거나 혹은 낮은 네트워크 트래픽의 검출, 또는 오동작하는 제 1 네트워크 노드(N1)와 연관된 유사한 증후일 수 있다.In step 403, the first network node N1 is monitored for a predetermined state. Such a condition may include, for example, detection of a worm or virus, detection of abnormally high or low network traffic from or to the first network node N1, or malfunctioning first network node ( Similar symptoms associated with N1).

단계(404)에서 이러한 상태가 검출되지 않은 경우, 단계(403)에서 제 1 네트워크 노드(N1)의 모니터링이 계속된다. 그러나, 이러한 상태가 단계(404)에서 검출되는 경우, 방법은 단계(405)로 계속된다.If no such condition is detected in step 404, monitoring of the first network node N1 continues in step 403. However, if this condition is detected at step 404, the method continues to step 405.

단계(405)에서, 제 1 네트워크 노드(N1)가 스위치(100)와 연관되는 네트워크 포트(P1)는 제 2 가상 네트워크(104)와 연관된 제 2 가상화 태그(T2)에 할당된다. 따라서, 제 1 네트워크 노드(N1)는 제 1 가상 네트워크(103)로부터 제 2 가상 네트워크(104)로 이동된다. 그러나, 제 1 네트워크 노드(N1)의 구성은, 동일하게 유지된다. 특히, 제 1 가상 네트워크(103)에서 사용된 제 1 네트워크 노드(N1)의 네트워크 어드레스(SA)는 제 2 가상 네트워크 노드(104)에서 또한 사용된다.In step 405, the network port P1 with which the first network node N1 is associated with the switch 100 is assigned to the second virtualization tag T2 associated with the second virtual network 104. Thus, the first network node N1 is moved from the first virtual network 103 to the second virtual network 104. However, the configuration of the first network node N1 remains the same. In particular, the network address SA of the first network node N1 used in the first virtual network 103 is also used in the second virtual network node 104.

제 2 가상 네트워크 노드(104)가 제 1 가상 네트워크(103)에 대해 호환 가능한 어드레스 구조를 잦는 경우, 제 2 가상 네트워크(104)로의 제 1 네트워크 노드(N1)의 스위치는 제 1 네트워크 노드(N1)에 대해 투명하다. 특히, 사전 결정된 어드레스(DA)와 연관된 유사한 서비스가 제 1 가상 네트워크(103)에 대해 이용 가능한 제 2 가상 네트워크(104)에 대해 이용 가능한 경우, 제 1 네트워크 노드(N1) 로부터 전송된 데이터 패킷에 포함되는 서비스 요구는 앞에서와 같이 제 2 가상 네트워크(104) 내에서 응답될 것이다.If the second virtual network node 104 frequently has a compatible address structure for the first virtual network 103, then the switch of the first network node N1 to the second virtual network 104 switches to the first network node N1. ) Is transparent. In particular, if a similar service associated with the predetermined address DA is available for the second virtual network 104 available for the first virtual network 103, the data packet transmitted from the first network node N1 is included. The service request involved will be answered in the second virtual network 104 as before.

도 5는 가상 네트워크를 작동시키는 제 2 방법의 실시예의 플로우차트이다. 제 1 단계(501)에서 제 1 가상 네트워크(103) 및 제 2 가상 네트워크(104)가 제공된다. 이 단계는 전술한 단계(401)와 동일하다.5 is a flowchart of an embodiment of a second method of operating a virtual network. In a first step 501 a first virtual network 103 and a second virtual network 104 are provided. This step is the same as step 401 described above.

단계(502)에서 제 1 가상화 태그(T1)에 의해 제 1 가상 네트워크(103)에 할당된 제 1 변환기 포트(P4) 및 제 2 가상화 태그(T2)에 의해 제 2 가상 네트워크(104)에 할당된 제 2 변환기 포트(P5)에 작동 가능하게 접속되는 어드레스 변환기(106)가 제공된다.In step 502 the first translator port P4 assigned to the first virtual network 103 by the first virtualization tag T1 and the second virtual network 104 by the second virtualization tag T2. An address translator 106 is provided which is operably connected to the second translator port P5.

어드레스 변환기(106)는 스위치(100) 또는 라우터(109)와 같은 다른 네트워크 디바이스로 통합된 개별적인 하드웨어 유닛으로 구현될 수 있거나, 혹은 소프트웨어로 구현될 수 있다. 예를 들어, 어드레스 변환기(106) 또는 스위치(100)에 포함된 프로세스에 의해 실행 가능한 프로그램의 프로그램 인스트럭션을 구현하는 컴퓨터 판독 가능한 매체가 제공될 수 있다. 컴퓨터 판독 가능한 매체는, 예를 들어, CD-ROM, 플래쉬 메모리 카드, 하드 디스크, 또는 임의의 다른 적절한 컴퓨터 판독 가능한 매체일 수 있다.The address translator 106 may be implemented as a separate hardware unit integrated into another network device, such as the switch 100 or router 109, or may be implemented in software. For example, a computer readable medium for implementing program instructions of a program executable by a process included in the address translator 106 or the switch 100 may be provided. The computer readable medium can be, for example, a CD-ROM, flash memory card, hard disk, or any other suitable computer readable medium.

단계(503)에서, 제 2 가상 네트워크(104)의 제 1 변환기 포트(P1)에 접속된 송신기 노드(N1)는 목적지 어드레스(DA)를 갖는 패킷 헤더를 포함하는 데이터 패킷을 전송한다. 데이터 패킷은, 예를 들어, 도 1(b)에 도시된 바와 같이, 송신기 노드(N1)의 소스 어드레스(SA)로부터 제 2 네트워크 노드(N2)의 목적지 어드레스(DA) 로 전송될 수 있다.In step 503, the transmitter node N1 connected to the first translator port P1 of the second virtual network 104 transmits a data packet comprising a packet header having a destination address DA. For example, the data packet may be transmitted from the source address SA of the transmitter node N1 to the destination address DA of the second network node N2, as shown in FIG. 1B.

단계(504)에서 데이터 패킷은 송신기 포트(P1)에 의해 제 2 가상화 태그(T2)로 마킹된다. In step 504 the data packet is marked with a second virtualization tag T2 by the transmitter port P1.

도 1(b)에 도시된 예에서, 제 2 네트워크 노드(N2)는 제 1 네트워크 노드(N1), 예를 들어, 생성 상태 가상 네트워크에 포함된다. 그러나, 송신기 노드(N1) 상에서 바이러스 인펙션이 검출된 이후에, 송신기 노드(N1)는 제 2 가상 네트워크(104), 예를 들어, 분리 네트워크로 이미 이동되었다.In the example shown in FIG. 1 (b), the second network node N2 is included in the first network node N1, for example the creation state virtual network. However, after virus infection on transmitter node N1 is detected, transmitter node N1 has already been moved to a second virtual network 104, for example a separate network.

그 경우에, 네트워크 노드(N1)가 접속되는 포트(P1)가 네트워크 포트의 제 2 세트(105)에 속하는 반면, 노드(N2)에 접속된 네트워크 포트(P2)가 동일한 세트(101 또는 105)에 포함된 포트 사이의 데이터 패킷을 단지 전송한 포트의 각각의 세트(101 및 105) 및 네트워크 포트의 제 1 세트(101)에 속함에 따라, 송신기 노드(N1)로부터 목적지 어드레스(DA)에 의해 어드레싱된 노드(N2)로의 데이터 패킷의 직접적인 전송은 불가능하다.In that case, the port P1 to which the network node N1 is connected belongs to the second set 105 of network ports, while the network port P2 connected to the node N2 is the same set 101 or 105. By the destination address DA from the transmitter node N1, as belonging to each of the sets 101 and 105 of the ports and only the first set of network ports 101 which transmitted data packets between the ports contained in Direct transmission of data packets to addressed node N2 is not possible.

단계(505)에서, 패킷 헤더의 목적지 어드레스(DA)를 갖는 목적지 노드(N2)가 제 2 가상 네트워크(104) 내에 포함되는지가 판정된다. 이러한 기능은, 예를 들어, 어드레스 변환기(106)에 의해 수행될 수 있다.In step 505, it is determined whether the destination node N2 having the destination address DA of the packet header is included in the second virtual network 104. This function may be performed by, for example, the address translator 106.

단계(506)에서 목적지 어드레스(DA)가 제 2 가상 네트워크(104) 내에 포함되는 것으로 판정되는 경우, 다른 액션이 취해지지 않는다. 그 다음에 데이터 패킷은 통상과 같이 제 2 가상 네트워크(104) 내의 목적지 어드레스(DA)로 전송된다. 그러나, 도 1(b)에 도시된 바와 같이, 목적지 어드레스(DA)가 제 2 가상 네트워 크(104) 내에 포함되지 않는 것으로 판정되는 경우, 단계(507)에서 어드레스 변환기(106)는 데이터 패킷을 리다이렉팅한다. If it is determined in step 506 that the destination address DA is included in the second virtual network 104, no other action is taken. The data packet is then sent to the destination address DA in the second virtual network 104 as usual. However, as shown in FIG. 1B, when it is determined that the destination address DA is not included in the second virtual network 104, in step 507, the address translator 106 drops the data packet. Redirect.

데이터 패킷은 제 1 또는 제 2 변환기 포트(P4, P5)에 데이터 패킷을 전송함으로써, 또 다른 프로세싱을 위해 제 1 또는 제 2 가상 네트워크(103, 104)에 각각 포함되는 수신기 노드(N2, N3)로 리다이렉팅될 수 있다. 특히. 제 1 가상화 태그(T1)에 할당된 제 1 변환기 포트(P4)를 통해 데이터 패킷을 리다이렉팅함으로써, 데이터 패킷은 제 2 가상 네트워크(104)로부터 제 1 가상 네트워크(103)로 이동될 수 있다.The data packet is transmitted to the first or second converter ports P4 and P5, thereby receiving receiver nodes N2 and N3 respectively included in the first or second virtual network 103 and 104 for further processing. Can be redirected to. Especially. By redirecting the data packet through the first translator port P4 assigned to the first virtualization tag T1, the data packet can be moved from the second virtual network 104 to the first virtual network 103.

따라서, 송신기 노드(N1)로부터 송신된 데이터 패킷은 상이한 가상 네트워크에 포함되는 수신기 노드(N2)로 전달될 수 있다. 그러나, 송신기 노드(N1)로부터 소정의 목적지 어드레스(DA)를 갖는 네트워크 노드(N2)로의 데이터 패킷의 전송이 너무 위함한 것으로 간주되는 경우, 예를 들어, 송시기 노드(N1)는 바이러스에 의해 감염되는 것으로 간주되므로, 데이터 패킷은 제 2 가상 네트워크(104)에 포함되는 다른 네트워크 노드(N3)로 리다이렉팅될 수 있다.Therefore, the data packet transmitted from the transmitter node N1 can be delivered to the receiver node N2 included in the different virtual network. However, if the transmission of the data packet from the transmitter node N1 to the network node N2 having the predetermined destination address DA is considered too dangerous, for example, the transmitter node N1 is caused by a virus. Since it is considered to be infected, the data packet can be redirected to another network node N3 included in the second virtual network 104.

이것은 고유한 애플리케이션 서버에 대한 모든 요구가 고정 목적지 어드레스(DA)로 다이렉팅되는 경우 특히 용이한 방식으로 성취될 수 있다. 예를 들어, 제 1 가상 네트워크(103)는 HTTP(hyper text transfer protocol) 또는 제 1 소정의 목적기 어드레스(DA)에 따른 요구를 제공하는 네트워크 노드(N2)를 포함할 수도 있다.This can be accomplished in a particularly easy manner when all the requests for a unique application server are directed to a fixed destination address (DA). For example, the first virtual network 103 may include a network node N2 that provides a request according to a hyper text transfer protocol (HTTP) or a first predetermined destination address DA.

애플리케이션 프록시(204)가 동일한 목적기 어드레스(DA)에서 제 2 가상 네 트워크(104)에 포함되는 경우, 제 2 가상 네트워크(104)에 포함된 노드(N1)로부터 전송된 HTTP 요구는 애플리케이션 프록시(204)로 전송된다. 그 다음에 애플리케이션 프록시(204)는 수신된 요구를 제 1 가상 네트워크(103)에 포함된 실제의 네트워크 노드(N2)로 전송할지 또는 데이터 패킷을 상이한 수신기 어드레스(RA)로 리다이렉팅할지를 결정할 수 있다.When the application proxy 204 is included in the second virtual network 104 at the same destination address DA, the HTTP request sent from the node N1 included in the second virtual network 104 is sent to the application proxy ( 204). The application proxy 204 can then determine whether to send the received request to the actual network node N2 included in the first virtual network 103 or to redirect the data packet to a different receiver address RA. .

일반적으로 수신기 어드레스(RA)는 제 1 가상 네트워크(103) 내의 수신기 노드(N2), 제 2 가상 네트워크(104) 내의 수신기 노드(N3), 외부 네트워크(108) 내의 수신기 노드, 또는 어드레스 변환기(106)의 내부 수신기와 연관될 수 있다. 어드레스 변환기가 2개를 초과하는 가상 네트워크에 접속되는 경우, 물론, 수신기 노드는, 예를 들어, 다른 어드레스 변환기(106) 또는 라우터(109)를 통해 어드레스 변환기에 직접 쪼는 간접으로 접속된 임의의 가상 네트워크에 포함할 수 있다.In general, the receiver address RA may be a receiver node N2 in the first virtual network 103, a receiver node N3 in the second virtual network 104, a receiver node in the external network 108, or an address translator 106. May be associated with an internal receiver. If an address translator is connected to more than two virtual networks, of course, the receiver node may be any virtually indirectly connected to the address translator directly, for example via another address translator 106 or router 109. It can be included in the network.

특히 중요한 실시예에서, 데이터 패킷은, 예를 들어, 송신기 노드(N1)로부터 분리 네트워크로서 사용된 제 2 가상 네트워크(104) 외부의 임의의 네트워크 노드로의 바이러스 인펙션의 확산을 방지하기 위해 제 2 가상 네트워크(104)에 포함된 수신기 노드(N3)로 리다이렉팅된다.In a particularly important embodiment, the data packet may be stored, for example, to prevent the spread of virus infection from the transmitter node N1 to any network node outside the second virtual network 104 used as a separate network. 2 is redirected to receiver node N3 included in virtual network 104.

어드레스 변환기(106)의 프록시(204)에 포함되거나 또는 제 2 가상 네트워크(204)에 달리 접속된 특수 수신기 노드(N3)는 사전 결정된 결과를 송신기 노드(N1)로 리턴할 수 있다. 이러한 사전 결정된 결과는, 예를 들어, 송신기 노드(N1)의 사용자에게 바이러스에 의해 송신기 노드(N1)가 감염될 수도 있음을 알리는 경고 메시지를 포함할 수 있다. SMTP, POP3 또는 IMAP와 같은 다른 애플리케이 션 프로토콜에 대해 유사한 경고가 제공될 수도 있다. 그 대신에 이러한 경고 메시지는 사용자 또는 네트워크 행정자에 전송될 수도 있다.The special receiver node N3, included in the proxy 204 of the address translator 106 or otherwise connected to the second virtual network 204, may return the predetermined result to the transmitter node N1. This predetermined result may include, for example, a warning message informing the user of the transmitter node N1 that the transmitter node N1 may be infected by the virus. Similar warnings may be provided for other application protocols such as SMTP, POP3 or IMAP. Instead such a warning message may be sent to the user or network administrator.

대안적으로, 송신기 노드(N1)로부터의 요구는 필터링 모듈(202)에 의해 필터링될 수 있다. 데이터 패킷의 인증에 따라 다른 데이터 패킷이 고유한 네트워크 노드로 전송될 수 있다. 예를 들어, 인증 모듈(203)이 네트워크 행정자가 필요로 하는 특권을 갖는지를 검증하는 경우, 네트워크 행정자에 의해 인증된 데이터 패킷에 인코딩된 요구는 디스인펙션 서버(206) 또는 패치 서버(205)로 전송될 수 있다. 이러한 인증 없이 송신기 노드(N1)의 사용자로부터 발신되는 유사한 데이터 패킷은 필터링 유닛(202)에 의해 간단히 필터링될 수도 있다.Alternatively, the request from transmitter node N1 may be filtered by filtering module 202. Depending on the authentication of the data packet, another data packet may be sent to a unique network node. For example, if the authentication module 203 verifies that it has the privileges required by the network administrator, the request encoded in the data packet authenticated by the network administrator is sent to the disinfection server 206 or the patch server 205. ) May be sent. Similar data packets originating from the user of transmitter node N1 without such authentication may simply be filtered by filtering unit 202.

바이러스 인펙션인 경우 네트워크 노드(N1)를 분리하는 예를 이용하여 가상 네트워크를 작동시키는 방법이 기술되었으나, 상태 머신(301)에 의해 네트워크 노드(N1 내지 N3)를 다수의 가상 네트워크로 자동적으로 조직하기 위해 유사한 방법이 사용될 수 있다. 이러한 자동 구성은, 예를 들어, 성능 요건에 따른 네트워크 노드(N1 내지 N3)를 조직하기 위해 사용될 수도 있다.In the case of virus infection, a method of operating a virtual network has been described using an example of separating the network node N1, but the state machines 301 automatically organize the network nodes N1 to N3 into multiple virtual networks. Similar methods can be used to do this. Such automatic configuration may be used, for example, for organizing network nodes N1 to N3 according to performance requirements.

본 발명의 사상으로부터 벗어나지 않고 당 분야에서 통상의 지식을 가진 자에게 본 실시예 및 상술한 방법의 다른 실시예가 명백할 것이다. 예를 들어, 본 방법은 WAN(wide area network)에서 유사한 장점이 있는 효과를 성취하기 위해 MPLS(multiprotocol lebel switching) 프로토콜에 적용될 수 있다.It will be apparent to those skilled in the art without departing from the spirit of the invention that this embodiment and other embodiments of the method described above will be apparent. For example, the method can be applied to a multiprotocol lebel switching (MPLS) protocol to achieve similarly beneficial effects in wide area networks (WANs).

도 1(a) 및 도 1(b)에 도시된 네트워크 셋업은 마찬가지로 단지 예시적이며 통상적으로 실제로는 보다 복잡하게 될 것이다. 예를 들어, 다수의 스위치(100)는 몇 개의 라우터(109), 어드레스 변환기(106) 또는 다른 네트워크 디바이스에 의해 접속될 수 있다. 가상 네트워크(103 또는 104)는, 몇 개의 물리적으로 개별적인 사이트, 예를 들어, 전역적인 회사 내부 네트워크의 상이한 LAN에 걸쳐질 수 있다.The network setup shown in Figures 1 (a) and 1 (b) is likewise merely exemplary and will typically be more complex in practice. For example, multiple switches 100 may be connected by several routers 109, address translators 106 or other network devices. The virtual network 103 or 104 may span several physically separate sites, for example, different LANs in a global company internal network.

참조 부호 리스트Reference list

100 : 스위치 100: switch

101 : 제 1 세트101: first set

103 : 제 1 가상 네트워크103: first virtual network

104 : 제 2 가상 네트워크104: second virtual network

105 : 제 2 세트105: second set

106 : 어드레스 변환기106: address translator

107 : 변환기 어드레스107: converter address

108 : 외부 네트워크108: external network

109 : 라우터109 router

202 : 필터링 모듈202: filtering module

203 : 인증 모듈203 authentication module

204 : 프록시204: proxy

205 : 패치 서버205: patch server

206 : 디스인펙션 서버206: Infection Server

207 : 재접속 이니시에이터207: Reconnect Initiator

208 : 어드레스 매핑 모듈208: address mapping module

301 : 상태 머신301: State Machine

302 : 생성 상태302: creation status

303 : 통지 상태303: notification status

304 : 고정 상태304: fixed state

305 내지 308 : 상태 천이305 to 308: state transition

401 내지 405 : 방법 단계401 to 405: method steps

501 내지 507 : 방법 단계501 to 507 method steps

DA : 목적지 어드레스DA: destination address

SA : 소스 어드레스SA: Source Address

RA : 수신기 어드레스RA: receiver address

N1 내지 N3 : 네트워크 노드N1 to N3: network nodes

P1 내지 P3 : 네트워크 포트P1 to P3: network port

T1 : 제 1 가상화 태그T1: first virtualization tag

T2 : 제 2 가상화 태그T2: second virtualization tag

Claims (11)

가상 네트워크를 작동시키는 방법으로서, As a method of operating a virtual network, 제 1 가상화 태그(T1)에 할당된 네트워크 포트의 제 1 세트를 포함하는 제 1 가상 네트워크 및 제 2 가상화 태그(T2)에 할당된 네트워크 포트의 제 2 세트를 포함하는 제 2 가상 네트워크를 제공하는 단계-상기 제 1 및 제 2 가상 네트워크는 호환 가능한 어드레스 범위를 가지며 그 범위 내에서만 데이터 패킷을 전송함-와,Providing a first virtual network comprising a first set of network ports assigned to a first virtualization tag T1 and a second virtual network comprising a second set of network ports assigned to a second virtualization tag T2 Step, wherein the first and second virtual networks have compatible address ranges and transmit data packets only within those ranges; 상기 제 1 가상 네트워크 내의 소스 어드레스(source address : SA)를 가지며, 상기 제 1 가상화 태그(T1)에 의해 상기 제 1 가상 네트워크에 할당된 제 1 포트(P1)에 작동 가능하게 접속되는 제 1 네트워크 노드(N1)를 제공하는 단계와,A first network having a source address (SA) in the first virtual network and operably connected to a first port (P1) assigned to the first virtual network by the first virtualization tag (T1) Providing a node N1, 사전 결정된 상태를 검출하기 위해 상기 제 1 네트워크 노드(N1)를 모니터링하는 단계와,Monitoring the first network node N1 to detect a predetermined condition; 상기 사전 결정된 상태의 검출 시에, 상기 제 1 가상화 태그(T1)에 의해 상기 제 1 네트워크 노드(N1)로부터 상기 제 1 가상 네트워크에 할당된 제 2 포트(P2)에 접속되는 제 2 네트워크 노드(N2)로 어떠한 데이터 패킷도 직접 전송될 수 없고, 상기 제 2 가상 네트워크 내에 상기 제 1 네트워크 노드(N1)에 대한 소스 어드레스(SA)를 유지하도록, 상기 제 1 포트(P1)에 상기 제 2 가상화 태그(T2)를 할당하는 것에 의해 상기 제 2 가상 네트워크에 상기 제 1 포트(P1)를 재할당하는 단계를 포함하는Upon detection of the predetermined state, a second network node connected to the second port P2 assigned to the first virtual network from the first network node N1 by the first virtualization tag T1 ( No second data packet can be sent directly to N2) and the second virtualization at the first port P1 to maintain the source address SA for the first network node N1 in the second virtual network. Reallocating the first port P1 to the second virtual network by assigning a tag T2. 가상 네트워크 작동 방법.How virtual networks work. 제 1 항에 있어서,The method of claim 1, 상기 사전 결정된 상태는 제 1 상태로부터 제 2 상태로의 상태 머신의 상태 천이에 의해 주어지며, 상기 상태 머신의 각각의 상태는 가상화 태그(T1, T2)로의 각각의 네트워크 포트(P1, P2)의 할당과 연관되는The predetermined state is given by the state transition of the state machine from the first state to the second state, each state of each of the network ports P1, P2 to the virtualization tags T1, T2. Associated with the assignment 가상 네트워크 작동 방법.How virtual networks work. 가상 네트워크를 작동시키는 방법으로서, As a method of operating a virtual network, 제 1 가상화 태그(T1)에 할당된 네트워크 포트의 제 1 세트를 포함하는 제 1 가상 네트워크 및 제 2 가상화 태그(T2)에 할당된 네트워크 포트의 제 2 세트를 포함하는 제 2 가상 네트워크를 제공하는 단계-상기 제 1 및 제 2 가상 네트워크는 호환 가능한 어드레스 범위를 가지며 그 범위 내에서만 데이터 패킷을 전송함-와,Providing a first virtual network comprising a first set of network ports assigned to a first virtualization tag T1 and a second virtual network comprising a second set of network ports assigned to a second virtualization tag T2 Step, wherein the first and second virtual networks have compatible address ranges and transmit data packets only within those ranges; 상기 제 1 가상화 태그(T1)에 의해 상기 제 1 가상 네트워크에 할당된 제 1 변환기 포트(P4) 및 상기 제 2 가상화 태그(T2)에 의해 상기 제 2 가상 네트워크에 할당된 제 2 변환기 포트(P5)에 작동 가능하게 접속되는 어드레스 변환기를 제공하는 단계와,A first translator port P4 assigned to the first virtual network by the first virtualization tag T1 and a second translator port P5 assigned to the second virtual network by the second virtualization tag T2. Providing an address translator operatively connected to 상기 제 2 가상 네트워크의 송신기 포트(P1)에 접속된 송신기 노드(N1)에 의해 목적지 어드레스(destination address : DA)를 갖는 패킷 헤더를 포함하는 데이터 패킷을 전송하는 단계와,Transmitting a data packet including a packet header having a destination address DA by a transmitter node N1 connected to a transmitter port P1 of the second virtual network; 상기 송신기 포트(P1)에 의해 상기 제 2 가상화 태그(T2)로 상기 데이터 패킷을 마킹(marking)하는 단계와,Marking the data packet with the second virtualized tag T2 by the transmitter port P1; 상기 패킷 헤더의 상기 목적지 어드레스(DA)를 갖는 목적지 노드(N2)가 상기 제 2 가상 네트워크 내에 포함되는지 여부를 판정하는 단계와,Determining whether a destination node (N2) having the destination address (DA) of the packet header is included in the second virtual network; 상기 목적지 노드(N2)가 상기 제 2 가상 네트워크 내에 포함되지 않는 것으로 판정되면, 상기 어드레스 변환기를 통해, 상기 제 1 또는 제 2 가상화 태그(T1, T2)에 할당된 상기 제 1 또는 제 2 변환기 포트(P4, P5)로 상기 데이터 패킷을 각각 전송함으로써, 상기 제 1 또는 제 2 가상 네트워크 내에 포함되는 수신기 노드(N2, N3)로 상기 데이터 패킷을 리다이렉팅(redirecting)하는 단계를 포함하는If it is determined that the destination node N2 is not included in the second virtual network, the first or second translator port assigned to the first or second virtualized tag T1, T2, through the address translator, is determined. Redirecting the data packet to receiver nodes N2 and N3 included in the first or second virtual network by transmitting the data packet to P4 and P5, respectively. 가상 네트워크 작동 방법.How virtual networks work. 제 3 항에 있어서,The method of claim 3, wherein 상기 수신기 노드(N2)는 상기 제 1 가상 네트워크에 포함되며,The receiver node N2 is included in the first virtual network, 상기 리다이렉팅하는 단계에서, 상기 패킷 헤더에 포함된 소스 어드레스(SA)는 상기 제 1 가상 네트워크에서 상기 어드레스 변환기에 할당된 제 1 변환기 어드레스로 변경되고, 변경된 데이터 패킷은 상기 수신기 노드(N2)로의 전송을 위해 상기 제 1 변환기 포트(P4)로 전송되는In the redirecting step, a source address SA included in the packet header is changed to a first translator address assigned to the address translator in the first virtual network, and the changed data packet is sent to the receiver node N2. Transmitted to the first converter port P4 for transmission 가상 네트워크 작동 방법.How virtual networks work. 제 3 항에 있어서,The method of claim 3, wherein 상기 수신기 노드(N3)는 상기 제 2 가상 네트워크에 포함되고, 수신기 어드레스(receiver address : RA)를 가지며,The receiver node N3 is included in the second virtual network and has a receiver address RA. 상기 리다이렉팅하는 단계에서, 상기 패킷 헤더에 포함된 상기 목적지 어드레스(DA)는 상기 수신기 어드레스(RA)로 변경되고, 변경된 데이터 패킷은 상기 수신기 노드(N3)로의 전송을 위해 상기 제 2 변환기 포트(P5)로 전송되는In the redirecting step, the destination address DA included in the packet header is changed to the receiver address RA, and the changed data packet is transmitted to the second translator port N for transmission to the receiver node N3. Sent to P5) 가상 네트워크 작동 방법.How virtual networks work. 제 3 항에 있어서,The method of claim 3, wherein 상기 수신기 노드(N2, N3)는 애플리케이션 프로토콜에 특유한(specific) 프록시 노드인The receiver nodes N2 and N3 are proxy nodes specific to the application protocol. 가상 네트워크 작동 방법.How virtual networks work. 데이터 네트워크 시스템으로서,As a data network system, 각각의 포트가 대응하는 가상화 태그(T1, T2)에 의해 가상 네트워크에 할당되는 다수의 포트를 포함하는 스위치와,A switch comprising a plurality of ports, each port assigned to a virtual network by corresponding virtualization tags T1 and T2; 제 1 가상화 태그(T1)에 의해 제 1 가상 네트워크에 할당된 상기 스위치의 제 1 변환기 포트(P4) 및 제 2 가상화 태그(T2)에 의해 제 2 가상 네트워크에 할당된 상기 스위치의 제 2 변환기 포트(P5)에 작동 가능하게 접속되는 어드레스 변환기와,The first translator port P4 of the switch assigned to the first virtual network by the first virtualization tag T1 and the second translator port of the switch assigned to the second virtual network by the second virtualization tag T2. An address converter operatively connected to (P5), 소스 어드레스(SA)를 가지며, 상기 제 1 가상화 태그(T1)에 의해 상기 제 1 가상 네트워크에 할당된 제 1 포트(P1)에 작동 가능하게 접속되는 제 1 네트워크 노드(N1)를 포함하되,A first network node (N1) having a source address (SA) and operably connected to a first port (P1) assigned to the first virtual network by the first virtualization tag (T1), 상기 데이터 네트워크 시스템은,The data network system, 사전 결정된 상태를 검출하기 위해 상기 제 1 네트워크 노드(N1)를 모니터링하는 단계와,Monitoring the first network node N1 to detect a predetermined condition; 상기 사전 결정된 상태의 검출 시에, 상기 제 1 가상화 태그(T1)에 의해 상기 제 1 네트워크 노드(N1)로부터 상기 제 1 가상 네트워크에 할당된 제 2 포트(P2)에 접속되는 제 2 네트워크 노드(N2)로 어떠한 데이터 패킷도 직접 전송될 수 없고, 상기 제 2 가상 네트워크 내에 상기 제 1 네트워크 노드(N1)에 대한 소스 어드레스(SA)를 유지하도록, 상기 제 1 포트(P1)에 상기 제 2 가상화 태그(T2)를 할당하는 것에 의해 상기 제 2 가상 네트워크에 상기 제 1 포트(P1)를 재할당하는 단계Upon detection of the predetermined state, a second network node connected to the second port P2 assigned to the first virtual network from the first network node N1 by the first virtualization tag T1 ( No second data packet can be sent directly to N2) and the second virtualization at the first port P1 to maintain the source address SA for the first network node N1 in the second virtual network. Reallocating the first port P1 to the second virtual network by assigning a tag T2 를 포함하는 방법을 실행하는How to run including 데이터 네트워크 시스템.Data network system. 제 7 항에 있어서,The method of claim 7, wherein 상기 데이터 네트워크 시스템은,The data network system, 상기 제 1 가상 네트워크에 작동 가능하게 접속된 제 2 네트워크 노드(N2) 또는 상기 제 2 가상 네트워크에 작동 가능하게 접속된 제 3 네트워크 노드(N3)를 더 포함하며,A second network node N2 operably connected to the first virtual network or a third network node N3 operably connected to the second virtual network, 상기 데이터 네트워크 시스템은,The data network system, 상기 제 2 가상 네트워크의 송신기 포트(P1)에 접속된 송신기 노드(N1)에 의해 목적지 어드레스(DA)를 갖는 패킷 헤더를 포함하는 데이터 패킷을 전송하는 단계와,Transmitting a data packet comprising a packet header having a destination address DA by a transmitter node N1 connected to a transmitter port P1 of the second virtual network, 상기 송신기 포트(P1)에 의해 상기 제 2 가상화 태그(T2)로 상기 데이터 패킷을 마킹하는 단계와,Marking the data packet with the second virtualized tag T2 by the transmitter port P1; 상기 패킷 헤더의 상기 목적지 어드레스(DA)를 갖는 목적지 노드(N2)가 상기 제 2 가상 네트워크 내에 포함되는지 여부를 판정하는 단계와,Determining whether a destination node (N2) having the destination address (DA) of the packet header is included in the second virtual network; 상기 목적지 노드(N2)가 상기 제 2 가상 네트워크 내에 포함되지 않는 것으로 판정되면, 상기 어드레스 변환기를 통해, 상기 제 1 또는 제 2 가상화 태그(T1, T2)에 할당된 상기 제 1 또는 제 2 변환기 포트(P4, P5)로 상기 데이터 패킷을 각각 전송함으로써, 상기 제 1 또는 제 2 가상 네트워크 내에 포함되는 수신기 노드(N2, N3)로 상기 데이터 패킷을 리다이렉팅하는 단계를 수행하는If it is determined that the destination node N2 is not included in the second virtual network, the first or second translator port assigned to the first or second virtualized tag T1, T2, through the address translator, is determined. Redirecting the data packet to receiver nodes N2 and N3 included in the first or second virtual network by transmitting the data packet to P4 and P5, respectively. 데이터 네트워크 시스템.Data network system. 가상 네트워크를 작동시키는 방법을 실행하는 프로그램 인스트럭션을 포함하는 컴퓨터 프로그램을 저장한 컴퓨터 판독 가능한 매체에 있어서,A computer readable medium having stored thereon a computer program comprising program instructions for executing a method of operating a virtual network, the computer readable medium comprising: 상기 가상 네트워크는,The virtual network, 제 1 가상화 태그(T1)에 할당된 네트워크 포트의 제 1 세트를 포함하는 제 1 가상 네트워크 및 제 2 가상화 태그(T2)에 할당된 네트워크 포트의 제 2 세트를 포함하는 제 2 가상 네트워크를 포함하되, 상기 제 1 및 제 2 가상 네트워크는 호환 가능한 어드레스 범위를 가지며 그 범위 내에서만 데이터 패킷을 전송하며, 상기 제 1 가상 네트워크 내의 소스 어드레스(SA)를 가지며 상기 제 1 가상화 태그(T1)에 의해 상기 제 1 가상 네트워크에 할당된 제 1 포트(P1)에 작동 가능하게 접속되는 제 1 네트워크 노드(N1)를 구비하며,A first virtual network comprising a first set of network ports assigned to the first virtualization tag T1 and a second virtual network comprising a second set of network ports assigned to the second virtualization tag T2; The first and second virtual networks have compatible address ranges and transmit data packets only within that range, have a source address (SA) in the first virtual network and are controlled by the first virtualization tag (T1). A first network node N1 operably connected to a first port P1 assigned to the first virtual network, 상기 방법은,The method, 사전 결정된 상태를 검출하기 위해 상기 제 1 네트워크 노드(N1)를 모니터링하는 단계와,Monitoring the first network node N1 to detect a predetermined condition; 상기 사전 결정된 상태의 검출 시에, 상기 제 1 가상화 태그(T1)에 의해 상기 제 1 네트워크 노드(N1)로부터 상기 제 1 가상 네트워크에 할당된 제 2 포트(P2)에 접속되는 제 2 네트워크 노드(N2)로 어떠한 데이터 패킷도 직접 전송될 수 없고, 상기 제 2 가상 네트워크 내에 상기 제 1 네트워크 노드(N1)에 대한 소스 어드레스(SA)를 유지하도록, 상기 제 1 포트(P1)에 상기 제 2 가상화 태그(T2)를 할당하는 것에 의해 상기 제 2 가상 네트워크에 상기 제 1 포트(P1)를 재할당하는 단계를 포함하는Upon detection of the predetermined state, a second network node connected to the second port P2 assigned to the first virtual network from the first network node N1 by the first virtualization tag T1 ( No second data packet can be sent directly to N2) and the second virtualization at the first port P1 to maintain the source address SA for the first network node N1 in the second virtual network. Reallocating the first port P1 to the second virtual network by assigning a tag T2. 컴퓨터 판독 가능한 매체.Computer readable media. 삭제delete 가상 네트워크를 작동시키는 방법을 실행하도록 적어도 하나의 프로세서에 의해 실행가능한 프로그램 인스트럭션을 구현하는 컴퓨터 프로그램을 저장한 컴퓨터 판독 가능한 매체에 있어서,A computer readable medium having stored thereon a computer program for implementing a program instruction executable by at least one processor to execute a method of operating a virtual network, the method comprising: 상기 가상 네트워크는,The virtual network, 제 1 가상화 태그(T1)에 할당된 네트워크 포트의 제 1 세트를 포함하는 제 1 가상 네트워크 및 제 2 가상화 태그(T2)에 할당된 네트워크 포트의 제 2 세트를 포함하는 제 2 가상 네트워크를 포함하되, 상기 제 1 및 제 2 가상 네트워크는 호환 가능한 어드레스 범위를 가지며 그 범위 내에서만 데이터 패킷을 전송하며, 상기 제 1 가상 네트워크 내의 소스 어드레스(SA)를 가지며 상기 제 1 가상화 태그(T1)에 의해 상기 제 1 가상 네트워크에 할당된 제 1 포트(P1)에 작동 가능하게 접속되는 제 1 네트워크 노드(N1)를 구비하며, 그리고 상기 제 1 가상화 태그(T1)에 의해 상기 제 1 가상 네트워크에 할당된 제 1 변환기 포트(P4) 및 상기 제 2 가상화 태그(T2)에 의해 상기 제 2 가상 네트워크에 할당된 제 2 변환기 포트(P5)에 작동 가능하게 접속되는 어드레스 변환기를 구비하고,A first virtual network comprising a first set of network ports assigned to the first virtualization tag T1 and a second virtual network comprising a second set of network ports assigned to the second virtualization tag T2; The first and second virtual networks have compatible address ranges and transmit data packets only within that range, have a source address (SA) in the first virtual network and are controlled by the first virtualization tag (T1). A first network node (N1) operably connected to a first port (P1) assigned to a first virtual network, and assigned to the first virtual network by the first virtualization tag (T1). An address translator operatively connected to a first translator port P4 and a second translator port P5 assigned to the second virtual network by the second virtualization tag T2; , 상기 방법은,The method, 상기 제 2 가상 네트워크의 송신기 포트(P1)에 접속된 송신기 노드(N1)에 의해 목적지 어드레스(DA)를 갖는 패킷 헤더를 포함하는 데이터 패킷을 전송하는 단계와,Transmitting a data packet comprising a packet header having a destination address DA by a transmitter node N1 connected to a transmitter port P1 of the second virtual network, 상기 송신기 포트(P1)에 의해 상기 제 2 가상화 태그(T2)로 상기 데이터 패킷을 마킹하는 단계와,Marking the data packet with the second virtualized tag T2 by the transmitter port P1; 상기 패킷 헤더의 상기 목적지 어드레스(DA)를 갖는 목적지 노드(N2)가 상기 제 2 가상 네트워크 내에 포함되는지 여부를 판정하는 단계와,Determining whether a destination node (N2) having the destination address (DA) of the packet header is included in the second virtual network; 상기 목적지 노드(N2)가 상기 제 2 가상 네트워크 내에 포함되지 않는 것으로 판정되면, 상기 어드레스 변환기를 통해, 상기 제 1 또는 제 2 가상화 태그(T1, T2)에 할당된 상기 제 1 또는 제 2 변환기 포트(P4, P5)로 상기 데이터 패킷을 각각 전송함으로써, 상기 제 1 또는 제 2 가상 네트워크 내에 포함되는 수신기 노드(N2, N3)로 상기 데이터 패킷을 리다이렉팅하는 단계를 포함하는If it is determined that the destination node N2 is not included in the second virtual network, the first or second translator port assigned to the first or second virtualized tag T1, T2, through the address translator, is determined. Redirecting the data packet to receiver nodes N2 and N3 included in the first or second virtual network by transmitting the data packet to P4 and P5, respectively. 컴퓨터 판독가능한 매체.Computer readable media.
KR1020087015037A 2005-12-13 2006-12-12 Methods for operating virtual networks, data network system, computer program and computer program product KR100998418B1 (en)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
EP05112038.4 2005-12-13
EP05112038 2005-12-13

Publications (2)

Publication Number Publication Date
KR20080093978A KR20080093978A (en) 2008-10-22
KR100998418B1 true KR100998418B1 (en) 2010-12-03

Family

ID=37908071

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020087015037A KR100998418B1 (en) 2005-12-13 2006-12-12 Methods for operating virtual networks, data network system, computer program and computer program product

Country Status (8)

Country Link
US (1) US7908350B2 (en)
EP (1) EP1969777B1 (en)
JP (1) JP4886788B2 (en)
KR (1) KR100998418B1 (en)
CN (1) CN101326771B (en)
AT (1) ATE456890T1 (en)
DE (1) DE602006012095D1 (en)
WO (1) WO2007069194A1 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101833714B1 (en) 2016-11-29 2018-04-13 아토리서치(주) Method, apparatus and computer program for processing packet of virtual machines

Families Citing this family (42)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN100531101C (en) * 2007-10-22 2009-08-19 华为技术有限公司 A method and device for realizing automatic allocation of end-to-end QinQ service label
US8234377B2 (en) * 2009-07-22 2012-07-31 Amazon Technologies, Inc. Dynamically migrating computer networks
JP5678800B2 (en) * 2011-05-23 2015-03-04 富士通株式会社 Information processing apparatus, system, and information processing program
US9432258B2 (en) 2011-06-06 2016-08-30 At&T Intellectual Property I, L.P. Methods and apparatus to configure virtual private mobile networks to reduce latency
US9106445B2 (en) * 2011-06-16 2015-08-11 Verizon Patent And Licensing Inc. Virtual extended network
US9386035B2 (en) * 2011-06-21 2016-07-05 At&T Intellectual Property I, L.P. Methods and apparatus to configure virtual private mobile networks for security
US9602404B2 (en) 2011-08-17 2017-03-21 Nicira, Inc. Last-hop processing for reverse direction packets
JP5870192B2 (en) * 2011-08-17 2016-02-24 ニシラ, インコーポレイテッド Logical L3 routing
US8867403B2 (en) 2011-08-18 2014-10-21 International Business Machines Corporation Virtual network overlays
US10044678B2 (en) 2011-08-31 2018-08-07 At&T Intellectual Property I, L.P. Methods and apparatus to configure virtual private mobile networks with virtual private networks
CN102316043B (en) * 2011-09-29 2014-01-01 中国联合网络通信集团有限公司 Port virtualization method, switch and communication system
US8929255B2 (en) * 2011-12-20 2015-01-06 Dell Products, Lp System and method for input/output virtualization using virtualized switch aggregation zones
US10075470B2 (en) 2013-04-19 2018-09-11 Nicira, Inc. Framework for coordination between endpoint security and network security services
US10009371B2 (en) 2013-08-09 2018-06-26 Nicira Inc. Method and system for managing network storm
US9699070B2 (en) 2013-10-04 2017-07-04 Nicira, Inc. Database protocol for exchanging forwarding state with hardware switches
US9798561B2 (en) 2013-10-31 2017-10-24 Vmware, Inc. Guarded virtual machines
US10277717B2 (en) 2013-12-15 2019-04-30 Nicira, Inc. Network introspection in an operating system
US9369478B2 (en) 2014-02-06 2016-06-14 Nicira, Inc. OWL-based intelligent security audit
KR20150116182A (en) * 2014-04-07 2015-10-15 삼성전자주식회사 Method and apparatus for managing dns address
US9648121B2 (en) * 2014-05-27 2017-05-09 Ravello Systems Ltd. Source-destination network address translation (SDNAT) proxy and method thereof
US20180062876A1 (en) * 2015-03-13 2018-03-01 Nec Corporation Control apparatus, information processing apparatus, method for presenting virtual network, and program
US9942058B2 (en) 2015-04-17 2018-04-10 Nicira, Inc. Managing tunnel endpoints for facilitating creation of logical networks
US10554484B2 (en) 2015-06-26 2020-02-04 Nicira, Inc. Control plane integration with hardware switches
US9967182B2 (en) 2015-07-31 2018-05-08 Nicira, Inc. Enabling hardware switches to perform logical routing functionalities
US10313186B2 (en) 2015-08-31 2019-06-04 Nicira, Inc. Scalable controller for hardware VTEPS
US10230576B2 (en) * 2015-09-30 2019-03-12 Nicira, Inc. Managing administrative statuses of hardware VTEPs
US9948577B2 (en) 2015-09-30 2018-04-17 Nicira, Inc. IP aliases in logical networks with hardware switches
US9979593B2 (en) 2015-09-30 2018-05-22 Nicira, Inc. Logical L3 processing for L2 hardware switches
US10263828B2 (en) 2015-09-30 2019-04-16 Nicira, Inc. Preventing concurrent distribution of network data to a hardware switch by multiple controllers
US10250553B2 (en) 2015-11-03 2019-04-02 Nicira, Inc. ARP offloading for managed hardware forwarding elements
KR101977726B1 (en) 2015-11-17 2019-05-14 한국전자통신연구원 APPARATUS AND METHOD FOR Virtual Desktop Services
US9992112B2 (en) 2015-12-15 2018-06-05 Nicira, Inc. Transactional controls for supplying control plane data to managed hardware forwarding elements
US9917799B2 (en) 2015-12-15 2018-03-13 Nicira, Inc. Transactional controls for supplying control plane data to managed hardware forwarding elements
US9998375B2 (en) 2015-12-15 2018-06-12 Nicira, Inc. Transactional controls for supplying control plane data to managed hardware forwarding elements
WO2017157801A1 (en) * 2016-03-17 2017-09-21 Johann Schlamp Constructible automata for internet routes
US10182035B2 (en) 2016-06-29 2019-01-15 Nicira, Inc. Implementing logical network security on a hardware switch
US20180234535A1 (en) * 2017-02-10 2018-08-16 Mediatek Inc. Method and apparatus for communication
US10931568B2 (en) * 2018-07-02 2021-02-23 Hewlett Packard Enterprise Development Lp Hitless maintenance of a L3 network
US10680947B2 (en) * 2018-07-24 2020-06-09 Vmware, Inc. Methods and apparatus to manage a physical network to reduce network dependencies in a multi-fabric virtual network
JP2020108011A (en) * 2018-12-27 2020-07-09 富士通株式会社 Malware inspection support program, malware inspection support method, and communication device
JP7364855B2 (en) * 2019-05-24 2023-10-19 富士通株式会社 Rogue device isolation device, rogue device isolation system, rogue device isolation program, and rogue device isolation method
JP7470320B2 (en) * 2020-01-08 2024-04-18 国立大学法人 名古屋工業大学 Network Management Device

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6157647A (en) 1996-11-06 2000-12-05 3Com Corporation Direct addressing between VLAN subnets
US6757286B1 (en) 1997-03-24 2004-06-29 Alcatel Self-configuring communication network
US20050058132A1 (en) 2002-05-20 2005-03-17 Fujitsu Limited Network repeater apparatus, network repeater method and network repeater program

Family Cites Families (18)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5963556A (en) * 1993-06-23 1999-10-05 Digital Equipment Corporation Device for partitioning ports of a bridge into groups of different virtual local area networks
US5684800A (en) * 1995-11-15 1997-11-04 Cabletron Systems, Inc. Method for establishing restricted broadcast groups in a switched network
JP3384319B2 (en) * 1998-03-27 2003-03-10 日本電気株式会社 Virtual private network construction system
US6937574B1 (en) * 1999-03-16 2005-08-30 Nortel Networks Limited Virtual private networks and methods for their operation
US7272643B1 (en) * 2000-09-13 2007-09-18 Fortinet, Inc. System and method for managing and provisioning virtual routers
US6847641B2 (en) * 2001-03-08 2005-01-25 Tellabs San Jose, Inc. Apparatus and methods for establishing virtual private networks in a broadband network
US7836205B2 (en) * 2002-07-11 2010-11-16 Hewlett-Packard Development Company, L.P. Method and device for use with a virtual network
US20040078471A1 (en) * 2002-10-18 2004-04-22 Collatus Corporation, A Delaware Corportion Apparatus, method, and computer program product for building virtual networks
US7715380B2 (en) * 2003-06-19 2010-05-11 Cisco Technology, Inc. Apparatus and methods for handling shared services through virtual route forwarding (VRF)-aware-NAT
US20050066035A1 (en) * 2003-09-19 2005-03-24 Williams Aidan Michael Method and apparatus for connecting privately addressed networks
JP2005165561A (en) * 2003-12-01 2005-06-23 Fujitsu Ltd Network connection control program, network connection control method and network connection controller
JP2005197815A (en) * 2003-12-26 2005-07-21 Japan Telecom Co Ltd Network system and network control method
JP2005217715A (en) * 2004-01-29 2005-08-11 Fujitsu Access Ltd Layer 2 switch having vlan inter segment transfer function
CN100505746C (en) * 2004-02-07 2009-06-24 华为技术有限公司 Method for implement virtual leased line
JP3746782B2 (en) * 2004-02-17 2006-02-15 日本テレコム株式会社 Network system
US7672314B2 (en) * 2004-07-09 2010-03-02 Cisco Technology, Inc. Scaling VLANs in a data network
US7411975B1 (en) * 2004-08-26 2008-08-12 Juniper Networks, Inc. Multimedia over internet protocol border controller for network-based virtual private networks
US7525969B2 (en) * 2006-08-25 2009-04-28 Cisco Technology, Inc. NAT processing in a VRF environment

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6157647A (en) 1996-11-06 2000-12-05 3Com Corporation Direct addressing between VLAN subnets
US6757286B1 (en) 1997-03-24 2004-06-29 Alcatel Self-configuring communication network
US20050058132A1 (en) 2002-05-20 2005-03-17 Fujitsu Limited Network repeater apparatus, network repeater method and network repeater program

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101833714B1 (en) 2016-11-29 2018-04-13 아토리서치(주) Method, apparatus and computer program for processing packet of virtual machines

Also Published As

Publication number Publication date
KR20080093978A (en) 2008-10-22
US20090006603A1 (en) 2009-01-01
CN101326771A (en) 2008-12-17
CN101326771B (en) 2010-09-15
EP1969777B1 (en) 2010-01-27
JP2009519663A (en) 2009-05-14
WO2007069194A1 (en) 2007-06-21
US7908350B2 (en) 2011-03-15
JP4886788B2 (en) 2012-02-29
ATE456890T1 (en) 2010-02-15
DE602006012095D1 (en) 2010-03-18
EP1969777A1 (en) 2008-09-17

Similar Documents

Publication Publication Date Title
KR100998418B1 (en) Methods for operating virtual networks, data network system, computer program and computer program product
Sahay et al. The application of software defined networking on securing computer networks: A survey
US11811731B2 (en) Packet classification for network routing
US20210344692A1 (en) Providing a virtual security appliance architecture to a virtual cloud infrastructure
US11159487B2 (en) Automatic configuration of perimeter firewalls based on security group information of SDN virtual firewalls
US11595250B2 (en) Service insertion at logical network gateway
US10623309B1 (en) Rule processing of packets
US20200076734A1 (en) Redirection of data messages at logical network gateway
RU2562438C2 (en) Network system and network management method
US8627313B2 (en) Virtual machine liveness determination
EP3815312A1 (en) Service insertion at logical network gateway
US20130347095A1 (en) Isolation and security hardening among workloads in a multi-tenant networked environment
AU2021202517B2 (en) Collecting and processing context attributes on a host
US20130132763A1 (en) Network disruption prevention when virtual chassis system undergoes splits and merges
US11477165B1 (en) Securing containerized applications
US9306959B2 (en) Dual bypass module and methods thereof
US11956221B2 (en) Encrypted data packet forwarding
EP3166262B1 (en) Control device, control system, control method, and control program
US11711292B2 (en) Pre-filtering of traffic subject to service insertion
US10931565B2 (en) Multi-VRF and multi-service insertion on edge gateway virtual machines
CN114930776A (en) Traffic mirroring in a hybrid network environment
Paradis Software-Defined Networking

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20131025

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20141024

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20151027

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20161026

Year of fee payment: 7

FPAY Annual fee payment

Payment date: 20171026

Year of fee payment: 8

FPAY Annual fee payment

Payment date: 20191029

Year of fee payment: 10